Internationale Aktion zerschlägt Infrastruktur von SocGholish, Amadey und StealC

Zusammenfassung

Europol, Microsoft und Strafverfolgungsbehörden haben in den vergangenen zwei Wochen eine internationale Aktion gegen drei Angebote aus dem Bereich „Cybercrime as a Service“ durchgeführt. Nach Angaben von Europol und Microsoft wurden dabei 326 Server und 142 Domains übernommen oder stillgelegt, die von Gruppen hinter SocGholish, Amadey und StealC genutzt wurden. Die Infrastruktur diente laut den Beteiligten dazu, Ransomware-Angriffe, Finanzbetrug und Attacken auf kritische Infrastrukturen vorzubereiten oder zu unterstützen. Europol teilte zudem mit, Ermittler hätten Kryptowerte „kriminellen Ursprungs“ im Wert von 41 Millionen Euro gefunden und rund 27 Millionen gestohlene Zugangsdaten sichergestellt. Im Fokus stand nicht ein einzelner Schadcode, sondern die Infrastruktur, auf die andere Kriminelle gegen Bezahlung zugreifen konnten. Microsoft beschreibt das Vorgehen als neuen Ansatz, der die Lieferkette von Cyberangriffen ins Visier nimmt statt nur isolierte Einzeldienste.

Laut Europol richtete sich die zweiwöchige Operation gegen Infrastruktur von Gruppen, die SocGholish-, Amadey- und StealC-Malware verbreiten. Andere Täter hätten für die Nutzung dieser Werkzeuge bezahlt, um weitere Straftaten zu begehen. Die Behörden zerlegten demnach 326 Server und 142 Domains.

Microsoft bezeichnete die Maßnahme in einem Blogbeitrag als Angriff auf die „Fließbänder“ der Cyberkriminalität. Der Konzern erklärte, man nehme damit nicht nur einzelne Dienste ins Visier, sondern die Lieferkette von Cyberangriffen insgesamt. Gemeint seien koordinierte Werkzeuge, die Ransomware, Finanzbetrug und Störungen öffentlicher Dienste ermöglichen.

Bei StealC handelt es sich laut dem Microsoft-Beitrag um einen Infostealer, der Passwörter, Cookies und Sitzungstoken unauffällig abgreift und damit oft die Grundlage für weitere Einbrüche schafft. SocGholish und Amadey werden dagegen typischerweise als Dropper eingesetzt, also als Schadsoftware, die den Zugang zu Netzwerken für weiteren bösartigen Code ermöglicht.

Microsoft-Forscher nutzten nach Unternehmensangaben Künstliche Intelligenz, um festzustellen, dass Amadey und StealC von derselben Infrastruktur abhängen. Beide Werkzeuge würden häufig gemeinsam eingesetzt: Amadey vor allem für den ersten Einbruch, StealC für den Diebstahl von Passwörtern und anderen sensiblen Daten. Wenn beide gleichzeitig ausgeschaltet werden, sei die Wirkung entsprechend größer, so Microsoft.

Auch SocGholish spielte in der Aktion eine zentrale Rolle. Die Malware verschafft Angreifern Zugang zu Systemen, indem sie über kompromittierte Websites gefälschte Browser-Updates ausliefert. Europol erklärte, man habe 14.971 infizierte Websites gewöhnlicher Einzelhändler identifiziert, die mit dieser Variante kompromittiert waren.

Nach Angaben von Europol ist SocGholish mit Evil Corp. verbunden, einer russischen Cybercrime-Gruppe, die mit mehreren groß angelegten Geldwäsche- und Ransomware-Aktivitäten in Verbindung gebracht wird. Die aktuelle Operation sollte nach Darstellung der Beteiligten gerade solche mehrstufigen kriminellen Abläufe stören.

Microsoft verwies zudem auf die globale Reichweite der betroffenen Malware-Familien. Dem Blogbeitrag zufolge waren Amadey und StealC allein in den ersten beiden Maiwochen mit mehr als 140.000 infizierten Computern weltweit verknüpft. Bei der aktuellen Aktion wurden 18.000 Rechner von Opfern festgestellt.

Europol bezifferte die weiteren Ergebnisse auf rund 27 Millionen wiedererlangte gestohlene Zugangsdaten sowie Kryptowerte im Umfang von 41 Millionen Euro, die als Vermögenswerte kriminellen Ursprungs eingestuft wurden. Microsoft veröffentlichte am Mittwoch außerdem neue Forschungsergebnisse zu Amadey und StealC. Der Konzern betonte, man arbeite zwar seit Langem gegen Malware und Cyberkriminalität, die jetzt bekanntgegebene Größenordnung der Maßnahme sei jedoch ungewöhnlich.

Internationale Aktion zerschlägt Infrastruktur von SocGholish, Amadey und StealC

Ähnliche Artikel

Neueste Artikel